클라우드 보안 회사 바라쿠다(Barracuda)가 의뢰해 실시한 설문조사 결과에 따르면 전체 응답자의 94%가 지난 12개월 동안 산업용 IoT(IIoT) 또는 운영 기술(OT) 시스템 공격을 경험한 것으로 나타났다.
‘2022 산업 보안 현황(The State of Industrial Security in 2022)’은 바라쿠다가 산업 시스템을 담당하는 고위 IT 및 보안 책임자를 대상으로 설문조사를 실시하고, 그 결과를 발행한 보고서다.
바라쿠다의 데이터 보호, 네트워크, 애플리케이션 보안 부문 수석 부사장 팀 제퍼슨은 “현 위협 환경에서 중요 인프라는 사이버 범죄자에게 매력적인 표적이다. 하지만 안타깝게도 IIoT/OT 보안 프로젝트는 다른 보안 이니셔티브에 밀리거나, 비용이나 복잡성으로 인해 실패하여 기업을 위험에 빠뜨리게 된다”라고 말했다.
지정학적 긴장 고조
솔라윈즈 공격, 지난달 리투아니아를 표적으로 한 러시아의 디도스 공격 등 최근 사례는 산업 시스템을 노리는 국가 지원 공격(nation state-backed attacks)에 관한 우려를 불러일으켰다. 그 결과 전체 응답자의 89%가 현 지정학적 상황을 매우 또는 상당히 우려하고 있는 것으로 조사됐다.
콘스텔레이션 리서치의 애널리스트 리즈 밀러는 “러시아의 우크라이나 침공이 사이버 공간으로 진입할 경우 IIoT 기기의 취약점이 주요 표적이 되리라 예상됐기 때문에 전 세계를 긴장시켰다”라고 언급했다.
뒤처진 제조 및 의료 산업
바라쿠다의 보고서에 의하면 전체 응답자의 93%는 소속 기업이 IIoT/OT 보안 프로젝트에서 실패했으며, 그 원인으로 인력과 도구의 부족을 꼽았다. 또 이번 설문조사에 참여한 기업의 18%만이 네트워크 액세스를 제한하고, MFA(다중 요소 인증)를 시행하고 있다고 답했다. 나머지는 네트워크를 공격에 노출시키고 있는 것이다.
아울러 전체 응답자의 약 절반은 소속 기업에서 자체적으로 보안 업데이트를 처리할 수 있다고 밝혔으며, 나머지는 외부 도움이 필요하다고 전했다. 보고서는 공격에 가장 큰 타격을 입은 기업은 수동으로 업데이트하고, 자동화 도구를 쓰지 않는 곳이 대부분이었다고 덧붙였다.
제조와 의료는 (보안) 준비가 미흡한 산업으로 드러났으며, 각각 24%와 17%만이 보안 프로젝트를 완료할 수 있었다고 답했다. 밀러는 “지난 2년 동안 팬데믹으로 인해 의료 인프라와 주요 시스템이 공격자의 표적이 됐다”라면서, “의료 산업의 CISO와 CIO 대부분은 모두 지쳐 있고, 대규모로 보이기는 하지만 프로젝트를 가속하는 데 필요하지도 않은 예산을 밀어붙이고 있으며, 고도화된 보안 프로젝트는 고사하고 네트워크 유지도 힘든 인력 부족에 직면해 있다”라고 말했다.
ciokr@idg.co.kr